What are the chances that this could be used for a DoS attack and how
serious would that be?
Le probabilità sono buone. Se una richiesta appositamente predisposta causa un tempo di attesa insolitamente lungo, è un buon indicatore che stai occupando una discussione sul server e hai trovato un potenziale vettore di attacco Denial of Service. I bug DoS vengono spesso trascurati nelle applicazioni web ma ci sono diversi modi in cui possono verificarsi ( Attacchi con caratteri jolly SQL , in attesa di richieste di rete, ecc.). Contro molti framework web sono stati pubblicati avvisi su difetti di DoS, come questo per Wordpress.
La gravità dipende ovviamente dal servizio che stanno eseguendo. Un piccolo web shop potrebbe perdere alcuni potenziali clienti - d'altra parte, per un sito di trading di bitcoin si potrebbe ottenere una grande perdita di denaro.
I'm asking because I'm hesitating to submit this bug to the app owner
who is running a bug bounty program as I do want to avoid negative
feedback/reputation.
I programmi Bug Bounty spesso escludono esplicitamente le vulnerabilità DoS dal loro ambito. Ma questo non significa che non siano interessati - piuttosto, i venditori hanno spesso paura di incoraggiare attacchi che potrebbero avere un impatto sui loro servizi (cosa che chiaramente fa un DoS).
Lo segnalerei comunque. I BBP hanno premiato i difetti DoS in passato, ad esempio qui oppure qui . Chiarirei che non sei stato attivamente alla ricerca di errori DoS ma hai trovato un comportamento che indica chiaramente che un vettore di attacco DoS potrebbe essere presente. Sono sicuro che sono interessati a dare un'occhiata a questo se ti riconoscono come ricercatore responsabile.
C'è anche questa guida OWASP sul test delle vulnerabilità DoS, ma come detto, non lo farei < em> attivamente fallo senza permesso. Non sarebbe la prima volta che qualcuno è stato bannato da un BBP .